De DevOps a DevSecOps: cómo integrar la seguridad en el ciclo de vida del desarrollo

DevSecOps es una nueva forma de hacer de la seguridad un punto central en cualquier práctica DevOps. Integrar la seguridad en la base de una aplicación o programa permite a las empresas proteger su producto y a los usuarios sin necesidad de lanzar cientos de parches y actualizaciones. Lo curioso es que, si la gente lo hiciera bien desde el principio, no habría necesidad de cambiar DevOps por DevSecOps. La seguridad debería haber formado parte del enfoque desde el principio.

La seguridad siempre debería ser fundamental, pero en el apuro por desarrollar nuevas ideas o entregar aplicaciones más rápido, puede pasarse por alto, lo que, irónicamente, es precisamente lo que ocurrió con DevOps. Establecer un ecosistema de seguridad durante la fase de desarrollo y mantenerlo durante todo el ciclo de vida es la única forma de superar este problema. Un enfoque proactivo es el mejor método para incorporar los elementos esenciales de DevSecOps.

Copado DevSecOps

Las limitaciones de DevOps

DevOps es un método de desarrollo del que se habla mucho, pero no es perfecto. Una gran área de oportunidad reside en la seguridad. La adopción de prácticas DevOps puede crear descuidos que den lugar a productos más vulnerables. Esto se debe a varias razones:

  1. Planes y objetivos de transición mal definidos: Si todos los miembros de una organización tienen una definición diferente de lo que es DevOps, la estrategia fracasará con toda seguridad. Combinar el desarrollo de software con las operaciones es una empresa enorme, por lo que es fácil que las personas tengan impresiones diferentes de lo que significa. En este conflicto radica el riesgo de que se produzcan brechas de seguridad, ya que ni los desarrolladores ni los responsables de operaciones saben quién es responsable de su gestión.
  2. Falta de implicación de los trabajadores: A menudo se considera que la tecnología es el motor de DevOps, cuando en realidad se trata de un proceso que gira en torno a las personas. Una cultura ligada a una estructura tradicional no aceptará fácilmente un enfoque colaborativo de DevOps. Cuando la cultura no está preparada, las personas no se responsabilizarán de ciertas tareas fuera de su silo percibido y pueden pasar por alto la seguridad.
  3. Velocidad sin estructura: DevOps es un sistema de flujo libre que fomenta la innovación, la velocidad y la agilidad en todos los niveles de la organización. Sin embargo, esto puede conducir a una falta de gobernanza que haga que los individuos eludan las políticas de seguridad y los requisitos de cumplimiento. Una supervisión limitada conlleva el riesgo de vulnerabilidades de seguridad.
  4. Métricas ineficaces: La capacidad de sopesar los resultados frente al riesgo sólo es posible con indicadores clave de rendimiento claramente definidos que muestren qué está teniendo éxito y a qué coste. Siempre hay un toma y daca entre acceso y protección. Las métricas ayudan a verificar el nivel adecuado de equilibrio.
Relacionado:  Malware en IBM Power Systems: lo que necesita saber

Aunque estas limitaciones son ciertamente preocupantes, eso no significa que DevOps sea ineficaz. Las organizaciones solo tienen que tomar algunas medidas más para convertir su programa DevOps en un sistema DevSecOps que adopte plenamente la seguridad.

Pasos necesarios para pasar de DevOps a DevSecOps

Las empresas que integran la seguridad en su enfoque DevOps afirman que son capaces de resolver casi la mitad de sus problemas críticos en menos de un día. Sin embargo, integrar la seguridad puede significar muchas cosas diferentes. Normalmente, siempre que incluya reconocimiento, simplificación, automatización y medición, una organización puede disfrutar de las ventajas de DevOps sin riesgos para la seguridad.

De DevOps a DevSecOps

Reconocer

Las organizaciones deben reconocer los datos que poseen, el riesgo que presentan y las amenazas actuales para su sector. Es necesario un conocimiento claro de las normativas, los requisitos de cumplimiento y las leyes para incorporar la gobernanza al ecosistema. La inteligencia sobre ciberamenazas permite conocer los riesgos a medida que surgen. El etiquetado preciso de los datos establece niveles de confidencialidad adecuados en función de las necesidades.

La transparencia del programa hace visibles las anomalías dentro del sistema y acelera la respuesta. Los registros inmutables y la supervisión coherente ayudan a descubrir y solucionar problemas operativos y de seguridad. Todos estos componentes se unen para crear el conocimiento necesario para reconocer los indicadores de riesgo.

Simplificar

Las tareas sencillas suelen ser las mejores, ya que conducen a procesos repetibles y gestionables. Un buen ejemplo es la Infraestructura como Código (IaC). Un código repetible y simplificado permite a las organizaciones ampliar su infraestructura al tiempo que protegen los datos que contiene. Como la complejidad es baja, también lo es el riesgo de error humano.

Relacionado:  A quien beneficia la ciberseguridad: Descubre los beneficios clave

La orquestación de la seguridad podría incluirse en el paraguas de la «simplificación» porque se trata de convertir cien procesos diferentes en uno solo centralizado. Las distintas herramientas del centro de operaciones de seguridad se combinan y las tareas se completan en una consola consolidada.

Automatizar

La entrega y el despliegue continuos son un método de automatización forzada en todas las partes del ciclo de vida del desarrollo. Las pruebas se realizan sistemáticamente y permiten a los desarrolladores identificar y corregir problemas como vulnerabilidades y puntos débiles en una fase más temprana del ciclo de vida de desarrollo del software. La automatización capta los problemas cuando aún son pequeños y fáciles de corregir antes de filtrarse por toda la aplicación.

Esta área también elimina el riesgo de error humano, una de las mayores amenazas para el proceso de desarrollo. Herramientas como las pruebas estáticas de seguridad de las aplicaciones y las pruebas dinámicas de seguridad de las aplicaciones se llevan a cabo durante la compilación, la puesta en escena y la publicación para garantizar la entrega del mejor código posible.

Medida

La medición no es algo que deba hacerse al final. Debe producirse sistemáticamente a lo largo del ciclo de vida del programa, evaluando elementos como la frecuencia de despliegue, el tiempo de espera para los cambios, la tasa de fracaso de los cambios y el tiempo de restablecimiento del servicio. De este modo, los administradores pueden aprovechar las oportunidades para racionalizar las tareas, mejorar la eficacia y minimizar las amenazas. Ningún programa de seguridad es perfecto, pero una medición coherente lo acerca lo más posible.

Relacionado:  Reexaminando las “5 Leyes de la Ciberseguridad”

Cómo encontrar el mejor socio de seguridad para su empresa

Por supuesto, la mejor forma de convertir DevOps en DevSecOps es realizar una auditoría completa por parte de terceros. Con la mirada crítica de un experto imparcial, es posible introducir mejoras y oportunidades de mejora. La auditoría funciona en conjunción con el programa DevOps existente para un enfoque holístico de la seguridad de extremo a extremo.

Publicaciones Similares